2 ] .field private static final PREFS_INSTALLATION_ID:Ljava/lang/String; = 'installationId'
3 ] //...
6 ] # instance fields
7 ] .field private _activityPackageName:Ljava/lang/String;
8 ] //...
上面定義的static fields和instance fields均為成員變量,格式是:.field public/private [static] [final] varName:<類型>�。然而static fields和instance fields還是有區(qū)別的,當(dāng)然區(qū)別很明顯����,那就是static fields是static的,而instance則不是����。根據(jù)這個區(qū)別來獲取這些不同的成員變量時(shí)也有不同的指令。一般來說���,獲取的指令有:iget���、sget、iget-boolean�、sget-boolean、iget-object����、sget-object等,操作的指令有:iput��、sput����、iput-boolean�����、sput-boolean�、iput-object����、sput-object等。沒有“-object”后綴的表示操作的成員變量對象是基本數(shù)據(jù)類型�����,帶“-object”表示操作的成員變量是對象類型�����,特別地��,boolean類型則使用帶“-boolean”的指令操作��。
(1)��、獲取static fields的指令類似是:
sget-object v0, Lcom/disney/WMW/WMWActivity;->PREFS_INSTALLATION_ID:Ljava/lang/String;
sget-object就是用來獲取變量值并保存到緊接著的參數(shù)的寄存器中����,在這里,把上面出現(xiàn)的PREFS_INSTALLATION_ID這個String成員變量獲取并放到v0這個寄存器中�,注意:前面需要該變量所屬的類的類型,后面需要加一個冒號和該成員變量的類型�,中間是“->”表示所屬關(guān)系。
(2)�����、獲取instance fields的指令與static fields的基本一樣���,只是由于不是static變量���,不能僅僅指出該變量所在類的類型,還需要該變量所在類的實(shí)例�。看例子:
iget-object v0, p0, Lcom/disney/WMW/WMWActivity;->_view:Lcom/disney/common/WMWView;
可以看到iget-object指令比sget-object多了一個參數(shù)�,就是該變量所在類的實(shí)例,在這里就是p0即“this”����。
(3)、獲取array的還有aget和aget-object�����,指令使用和上述類似,不細(xì)述�����。
(4)���、put指令的使用和get指令是統(tǒng)一的�,直接看例子不解釋:
const/4 v3, 0x0 sput-object v3, Lcom/disney/WMW/WMWActivity;->globalIapHandler:Lcom/disney/config/GlobalPurchaseHandler;
相當(dāng)于:this.globalIapHandler = null;(null = 0x0)
.local v0, wait:Landroid/os/Message; const/4 v1, 0x2 iput v1, v0, Landroid/os/Message;->what:I
相當(dāng)于:wait.what = 0x2;(wait是Message的實(shí)例)
3、smali中的函數(shù)調(diào)用
smali中的函數(shù)和成員變量一樣也分為兩種類型�,但是不同成員變量中的static和instance之分,而是direct和virtual之分���。那么direct method和virtual method有什么區(qū)別呢?直白地講����,direct method就是private函數(shù),其余的public和protected函數(shù)都屬于virtual method�����。所以在調(diào)用函數(shù)時(shí),有invoke-direct��,invoke-virtual����,另外還有invoke-static、invoke-super以及invoke-interface等幾種不同的指令���。當(dāng)然其實(shí)還有invoke-XXX/range 指令的���,這是參數(shù)多于4個的時(shí)候調(diào)用的指令,比較少見���,了解下即可����。
(1)����、invoke-static:顧名思義就是調(diào)用static函數(shù)的,因?yàn)槭莝tatic函數(shù)���,所以比起其他調(diào)用少一個參數(shù)����,例如:
invoke-static {}, Lcom/disney/WMW/UnlockHelper;->unlockCrankypack()Z
這里注意到invoke-static后面有一對大括號“{}”,其實(shí)是調(diào)用該方法的實(shí)例+參數(shù)列表�����,由于這個方法既不需參數(shù)也是static的�,所以{}內(nèi)為空,再看一個例子:
const-string v0, 'fmodex' invoke-static {v0}, Ljava/lang/System;->loadLibrary(Ljava/lang/String;)V<span style='font-family:Verdana, sans-serif;'> </span>
這個是調(diào)用static void System.loadLibrary(String)來加載NDK編譯的so庫用的方法���,同樣也是這里v0就是參數(shù)'fmodex'了����。
(2)�����、invoke-super:調(diào)用父類方法用的指令����,在onCreate��、onDestroy等方法都能看到,略�。
(3)、invoke-direct:調(diào)用private函數(shù)的����,例如:
invoke-direct {p0}, Lcom/disney/WMW/WMWActivity;->getGlobalIapHandler()Lcom/disney/config/GlobalPurchaseHandler;
這里GlobalPurchaseHandler getGlobalIapHandler()就是定義在WMWActivity中的一個private函數(shù),如果修改smali時(shí)錯用invoke-virtual或invoke-static將在回編譯后程序運(yùn)行時(shí)引發(fā)一個常見的VerifyError(更多錯誤匯總可參照APK反編譯之番外三:常見錯誤匯總)���。
(4)�����、invoke-virtual:用于調(diào)用protected或public函數(shù)�,同樣注意修改smali時(shí)不要錯用invoke-direct或invoke-static�,例子:
sget-object v0, Lcom/disney/WMW/WMWActivity;->shareHandler:Landroid/os/Handler; invoke-virtual {v0, v3}, Landroid/os/Handler;->removeCallbacksAndMessages(Ljava/lang/Object;)V
這里相信大家都已經(jīng)明白了,主要搞清楚v0是shareHandler:Landroid/os/Handler����,v3是傳遞給removeCallbackAndMessage方法的Ljava/lang/Object參數(shù)就可以了。
(5)����、invoke-xxxxx/range:當(dāng)方法的參數(shù)多于5個時(shí)(含5個),不能直接使用以上的指令�����,而是在后面加上“/range”,使用方法也有所不同:
invoke-static/range {v0 .. v5}, Lcn/game189/sms/SMS;->checkFee(Ljava/lang/String;Landroid/app/Activity;Lcn/game189/sms/SMSListener;Ljava/lang/String;Ljava/lang/String;Ljava/lang/String;)Z
這個是電信SDK中的付費(fèi)接口����,需要傳遞6個參數(shù),這時(shí)候大括號內(nèi)的參數(shù)需要用省略形式����,且需要連續(xù)(未求證是否需要從v0開始)。
有人也許注意到�����,剛才看到的例子都是“調(diào)用函數(shù)”這個操作而已�����,貌似沒有取函數(shù)返回的結(jié)果的操作��?
在Java代碼中調(diào)用函數(shù)和返回函數(shù)結(jié)果是一條語句完成的��,而在smali里則需要分開來完成��,在使用上述指令后,如果調(diào)用的函數(shù)返回非void��,那么還需要用到move-result(返回基本數(shù)據(jù)類型)和move-result-object(返回對象)指令:
const/4 v2, 0x0 invoke-virtual {p0, v2}, Lcom/disney/WMW/WMWActivity;->getPreferences(I)Landroid/content/SharedPreferences; move-result-object v1
v1保存的就是調(diào)用getPreferences(int)方法返回的SharedPreferences實(shí)例����。
invoke-virtual {v2}, Ljava/lang/String;->length()I move-result v2
v2保存的則是調(diào)用String.length()返回的整型���。
4��、smali中函數(shù)實(shí)體分析
下面開始介紹函數(shù)實(shí)體����,其實(shí)沒有什么特別的地方,只是在植入代碼時(shí)有一點(diǎn)需要特別注意�����,舉例說明:
.method protected onDestroy()V .locals 0 .prologue .line 277 invoke-super {p0}, Lcom/disney/common/BaseActivity;->onDestroy()V .line 279 return-void.end method
這是onDestroy()函數(shù)��,它的作用大家都知道�。首先看到函數(shù)內(nèi)第一句:.local 0,這句話很重要,標(biāo)明了你在這個函數(shù)中最少要用到的本地寄存器的個數(shù)���。在這里����,由于只需要調(diào)用一個父類的onDestroy()處理���,所以只需要用到p0�,所以使用到的本地寄存器數(shù)為0���。如果不清楚這個規(guī)則����,很容易在植入代碼后忘記修改.local 的值��,那么回編譯后運(yùn)行時(shí)將會得到一個VerifyError錯誤�����,而且極難發(fā)現(xiàn)問題所在�����。我正是被這個問題困擾了很多次,最后研究發(fā)現(xiàn).local的值有這個規(guī)律���,于是在文檔查證了一下果然是這個問題���。例如我往onDestroy()增加一句:this.existed = true;那么應(yīng)該改為(注意修改.local的值為1——使用到了v0這一個本地寄存器):
.method protected onDestroy()V .locals 1 .prologue .line 277 const/4 v0, 0x1 iput-boolean v0, p0, Lcom/disney/WMW/WMWActivity;->exited:Z invoke-super {p0}, Lcom/disney/common/BaseActivity;->onDestroy()V .line 279 return-void.end method
另外注意到.line這個標(biāo)識,它是標(biāo)注了該代碼在原Java文件中的行數(shù)���,它也很有用,想想使用eclipse開發(fā)時(shí)����,遇到錯誤崩潰時(shí),在catLog不是有提示哪個文件哪一行崩潰的么����?Dalvik VM運(yùn)行到.line XX時(shí)就將這個值存起來,如果在這一行運(yùn)行時(shí)出錯了���,就往catLog輸出這個值�,這樣我們就能看到具體是哪一行的問題了��。jd-gui這個工具也是通過分析這些信息將smali代碼還原成我們喜聞樂見的Java代碼的����。當(dāng)然�����,它不是必須的��,去掉也沒有關(guān)系�����,只不過為了方便調(diào)試還是保留一下吧��。
